サイバーセキュリティの専門家は、侵害された組織と侵害される組織のXNUMX種類の組織があることを知っています。 問題は、組織が攻撃されるかどうかではありません。 問題は、サイバーセキュリティインシデントが発生したときに、適切かつ迅速に対応できるかどうかです。
役割と責任
リアクティブモードは、特にシナリオの準備が完全に整っていない場合に、組織が直面する可能性のある最悪の状態です。 ハッカーは常に戦術を進化させているので、 サイバー戦争 当たり前になっているので、いつ何が来るのかを知ることはできません。
ただし、違反がビジネスの継続性や利害関係者の不安に与える影響を最小限に抑えるために、企業ができることはいくつかあります。 何よりもまず、企業は 事件対応計画 これにより、組織はサイバー攻撃をより効果的に処理できるようになります。
さらに、サイバーセキュリティチームは、COVID-19パンデミックの真っ只中に経営幹部を襲ったトレンドを受け入れる必要があります:シナリオプランニング。 セキュリティチームは、ランサムウェア攻撃など、特定のシナリオが発生した場合に実行する必要のあるアクションを説明するプレイブックを用意する必要があります。 そうすれば、災害が発生したときに、次のステップが明確になります。
インシデントカテゴリの応答タイプ
First.org、インシデント対応およびセキュリティの専門家のためのグローバルフォーラムが公開されました コンピュータセキュリティインシデント対応チームガイドのドラフト これは、インシデントを熟考して管理するための適切に組織化されたアプローチを提供します。 それはスコープのステートメントで始まり、インシデントカテゴリ、重要度分類、感度分類が続きます。
インシデントカテゴリテーブルには、さまざまなインシデントタイプの名前、それぞれの説明、およびXNUMXつの値または値の範囲である関連する感度評価が含まれます。 ドキュメントに含まれるカテゴリは次のとおりです。
- DoS攻撃
- 科学捜査
- 侵害された情報
- 侵害された資産
- 違法行為
- 内部ハッキング
- 外部ハッキング
- マルウェア
- メール
- コンサルティング
- ポリシー違反
重要度分類テーブルは、インシデントを一般的な重大度レベルでランク付けします。 重大度レベルは、重大度の低いインシデントの1時間と比較して、重大度の高いインシデントの48時間の範囲の初期応答時間目標に影響を与えます。 この表には、継続的な対応、責任者、継続的な連絡をいつまでに受けなければならないかについても説明しています。
感度分類表では、重大度のレベルに応じて、「知る必要がある」コミュニケーションについて説明しています。
インシデント関連のコミュニケーションの形式は、聴衆とコミュニケーション媒体によって異なる傾向があります。 たとえば、DoS攻撃が発生するとすぐに、問題を認識し、チームがサイトの復旧に取り組んでいることを示す通知を会社のWebサイトに投稿するのが一般的な方法です。 最近では、Webサイトのステータスページにソーシャルメディアの投稿が追加されることが多く、顧客に通知するだけでなく、停止に関する潜在的な否定的な投稿に先んじることができます。
一方、ハッカーが顧客、従業員、および/またはパートナーのPIIをダウンロードしたばかりの場合は、公的および個人的な形式の通知を提供する必要があります。 インシデント対応計画には、これらの通信手段とは何か、および何をカバーする必要があるかを一般的に記載する必要があります。 実際、一部のベンダーや一部の企業はインシデント対応テンプレートを作成しているため、たとえば、サイトが停止するたびに「車輪の再発明」を行う必要はありません。
また、 NISTセキュリティインシデント処理ガイド CRESTサイバーセキュリティインシデント対応ガイド ベンダーが開発したさまざまなインシデント対応テンプレート。
卓上エクササイズ
卓上演習は、シナリオプランニング演習の一種です。 それらは、インシデント対応の有効性、ギャップ、および改善が必要な領域をテストする目的で、利害関係者を集めてシナリオを実行します。
インターネットセキュリティセンター(CIS) XNUMXつのシナリオを含むガイドを公開 組織は、次のような運動目的で使用できます。
- テストされておらず失敗したクイックフィックス(パッチ)
- マルウェア感染
- 計画外の攻撃
- クラウドストレージのエクスプロイト
- 偽の(詐欺的な)「従業員」を含む侵害された給与システム
- ランサムウェア攻撃と組み合わされた自然災害(洪水)
SIEM / SOAR
継続的な監視は、インシデントの対応と管理にとって絶対的に重要です。
セキュリティ情報およびイベント管理(SIEM) アプリケーションとネットワークハードウェアによって生成されたセキュリティアラートを分析し、相関イベントの自動分析を提供します。 このデータを使用して、攻撃者と被害者を特定し、ブルートフォース、サービス拒否、ゼロデイ攻撃などのさまざまな種類のアクティビティを特定できます。
セキュリティオーケストレーション、自動化、および応答(SOAR) 行動分析、エンドポイントセキュリティ、ファイアウォール、侵入検知および防止システム(IDSおよびIPS)、SIEMなどのさまざまなツールを統合して、継続的な監視、自動脅威修復、および必要に応じたセキュリティ専門家へのハンドオフを可能にします。
その他のインシデント対応ツールオプション
さまざまな種類のサイバーセキュリティツールは、他のツールと重複する機能を備えていることがよくあります。 ツールには次のものがあります。
- 事前定義された方法で脅威に自動的に対応し、脅威を探し、異常を検出する可能性のあるインシデント対応プラットフォーム。
- エンドポイント脅威の検出と対応(EDR)
インシデント対応の適時性と有効性を向上させるのに役立つ一連のサービスとマネージドサイバーセキュリティサービス、および攻撃の範囲と経路を特定するフォレンジックサービスも利用できます。 法医学コンサルタントは、インシデントが修正されたかどうかを確認することもできます。 たとえば、最近のAccellionの侵害では、フォレンジックサイバーセキュリティ会社のFireEye Mandiantが、Accellionが発見したXNUMXつの脆弱性に加えて、XNUMXつの脆弱性を発見しました。
コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://www.cshub.com/executive-decisions/articles/incident-detection-and-response-basics-greatly-matter